-
博客
希望我們能(néng)與您分享和探讨成(chéng)長(cháng)中的點點滴滴
醫療器械安全最佳實踐
創提信息
2022/11/30
分享到
全球各地對(duì)醫療器械安全的擔憂與日俱增。在美國(guó),由于連接設備的數量不斷增加,以及網絡攻擊對(duì)患者的護理造成(chéng)的破壞力,導緻新的立法正在出台。
2022年6月8日,美國(guó)衆議院通過(guò)了H.R.7667号法案,該法案旨在解決醫療器械的網絡安全問題,隻有幾項除外,該法案旨在闡明什麼(me)應當被(bèi)認爲是“合理的”醫療器械安全。
在這(zhè)裡(lǐ),我們將(jiāng)讨論醫療器械安全H.R.7667号法案包括哪些内容,以及您可以爲此做些什麼(me)準備。
• 什麼(me)是H.R.7667号法案?
• 該法案如何影響醫療器械軟件開(kāi)發(fā)人員?
• 如何準備:FDA網絡安全指南
• 如何準備:醫療器械标準和準則
什麼(me)是H.R.7667号法案?
H.R.7667号法案包括針對(duì)确保網絡醫療器械整個生命周期的網絡安全的要求,網絡醫療器械的定義如下:
• 包括軟件,比如本身就(jiù)是軟件或運行在設備中的軟件。
• 具備聯網功能(néng)。
• 包含可能(néng)易受網絡安全威脅攻擊的任何此類技術特征。
該法案如何影響醫療器械軟件開(kāi)發(fā)人員?
該法案明确規定,醫療器械制造商必須至少做到如下幾點:
• 制定計劃,在合理的時(shí)間内适當地監測、識别和處理上市後(hòu)的網絡安全漏洞,包括協調一緻的漏洞披露和程序。
• 設計、開(kāi)發(fā)并維護流程和程序,以确保設備和相關系統的網絡安全。
• 在網絡設備和相關系統的整個生命周期内提供更新和補丁。
• 在網絡設備标簽中提供軟件組成(chéng)清單。
• 需要遵守H.R.7667号法案的要求,從而證明出于網絡安全的目的對(duì)設備的安全性和有效性所作的合理的保障。
如何爲該法案做準備:醫療器械安全最佳實踐
爲了有效地爲該醫療器械安全H.R.7667号法案做準備,您應當采取以下最佳實踐。
FDA網絡安全指南
FDA網絡安全指南概述了如何保持醫療器械的安全并幫助滿足許可要求。該指南在如下方面(miàn)提供了指導:
• 提供與設計控制相關的文檔,其中必須包括設計驗證、軟件驗證和風險分析的文檔。
• 确保輸入的數據符合所需的規格,并且在傳輸或靜止時(shí)無法修改。
• 使用行業接受的最佳實踐,因爲這(zhè)些最佳實踐能(néng)夠在醫療器械代碼執行的同時(shí),維護和驗證代碼的完整性。
• 設計醫療器械以檢測和響應網絡安全風險,包括網絡安全更新、補丁和應急方案。
• 實現醫療器械功能(néng),即使醫療器械的網絡安全受到威脅,也能(néng)保護關鍵功能(néng)和數據。
除了上述指南之外,您還(hái)必須使用基于風險的開(kāi)發(fā)策略。根據上述指南,醫療器械分爲兩(liǎng)類:
• 1類:連接設備,如果它們被(bèi)破壞,可能(néng)會(huì)極大地影響患者的健康。這(zhè)些設備面(miàn)臨的網絡安全威脅風險更高。
• 2類:這(zhè)些設備存在标準的網絡安全風險,包括所有其他不能(néng)歸爲1類的設備。
無論如何,對(duì)于這(zhè)兩(liǎng)類醫療器械,您都(dōu)需要完成(chéng)以下任務:
• 進(jìn)行全面(miàn)的風險評估,找出軟件安全漏洞。
• 了解每個漏洞可能(néng)對(duì)醫療器械和患者産生的潛在影響。
• 處理軟件安全漏洞。
• 使用設計控制來确保安全性。
• 确立數據完整性需求。
通過(guò)遵循基于風險的實踐,您可以在風險出現時(shí)更有效地處理風險,而不是在發(fā)布後(hòu)花費更多的成(chéng)本修複風險。
有關FDA網絡安全指南的更多信息,請訪問FDA CYBERSECURITY。
醫療器械标準和準則
醫療器械開(kāi)發(fā)在全球範圍内受到高度監管,其中包括幾個關鍵的監管标準:
• ISO 13485是規定醫療器械質量管理要求的監管标準。
• ISO 14971是針對(duì)醫療器械的風險管理監管标準。
• FDA法規是滿足醫療器械合規性的美國(guó)标準。
• 《歐盟醫療器械法規》 (EU Medical Device Regulation) 是一項歐盟标準,取代了《醫療器械指令》(Medical Devices Directive),後(hòu)者涵蓋供人使用的醫療器械的臨床調查和銷售。
然而,醫療器械軟件最相關、最基本的國(guó)際标準是《IEC 62304:醫療器械軟件——軟件生命周期過(guò)程》,适用于醫療器械軟件的開(kāi)發(fā)和維護,可以提供确保安全性的流程、活動和任務。
該标準包括軟件安全分類,以确定需要遵循的安全相關流程。這(zhè)影響到了整個軟件的開(kāi)發(fā)生命周期。
醫療器械軟件有三種(zhǒng)安全級别:
1. A級:不可能(néng)對(duì)健康造成(chéng)傷害或損害。
2. B級:可能(néng)造成(chéng)傷害,但不嚴重。
3. C級:可能(néng)造成(chéng)死亡或嚴重的傷害。
符合IEC 62304是必要的,因爲IEC 62304可以滿足其他地區标準的要求。例如,FDA接受符合IEC 62304的證明作爲監管程序已經(jīng)完成(chéng)的證據。
此外,MISRA還(hái)經(jīng)常用于醫療器械嵌入式軟件的開(kāi)發(fā)。這(zhè)有助于滿足IEC 62304中定義的軟件驗收标準。
靜态分析如何支持醫療器械安全
有效地确保您的醫療器械軟件合規和安全的最簡單的方法之一是使用行業标準化的工具——特别是靜态分析工具。
通過(guò)使用靜态分析工具,如Helix QAC或Klocwork,您可以提高軟件質量,加速滿足合規,并确保實現安全性,包括:
• 執行編碼标準和準則,包括IEC 62304, CERT和MISRA。
• 在開(kāi)發(fā)的早期檢測代碼漏洞、合規問題和違規情況。
• 加速代碼評審和手動測試工作。
• 生成(chéng)随時(shí)間推移和跨産品版本的合規性報告。
此外,Helix QAC和Klocwork都(dōu)通過(guò)用于安全關鍵系統的TÜV-SÜD認證,包括IEC 62304,最高可達Software Safety C級。
如果您準備親自體驗Perforce靜态分析工具如何幫助确保您的醫療器械軟件是兼容和安全的,立刻注冊申請7天的免費試用吧。